# T1203 - Exploitation for Client Execution ## Descrição **T1203 - Exploitation for Client Execution** é uma técnica da tática de Execução (TA0002) na qual o adversário explora vulnerabilidades em aplicações de software cliente - navegadores, suítes de escritório, leitores de PDF e clientes de e-mail - para executar código arbitrário no sistema da vítima. Ao contrário de [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]], o T1203 depende de alguma forma de interação do usuário: a vítima precisa abrir um arquivo malicioso, visitar uma página comprometida ou simplesmente renderizar um conteúdo especialmente elaborado. A eficácia desta técnica reside na ubiquidade das aplicações-alvo. Suítes de produtividade como Microsoft Office e Adobe Acrobat estão presentes em práticamente todo ambiente corporativo do Brasil, e ciclos de atualização lentos em ambientes regulados - como bancos e órgãos públicos - mantêm jánelas de exposição abertas por meses após a divulgação de um CVE. A execução ocorre no contexto de privilégio do usuário logado, frequentemente suficiente para estabelecer persistência e iniciar movimentação lateral sem disparar alertas imediatos. Os vetores mais documentados incluem documentos Word e RTF com exploits de componentes legados (como o Equation Editor via [[cve-2017-11882|CVE-2017-11882]]), vulnerabilidades em engines JavaScript de navegadores encadeadas com sandbox escapes, e arquivos PDF com JavaScript embutido. Cada vetor exige que o adversário mantenha ou adquira conhecimento sobre vulnerabilidades não corrigidas - o que eleva o nível técnico da operação e, em muitos casos, indica atores com recursos significativos como grupos APT patrocinados por estados. **Contexto Brasil/LATAM:** No Brasil e na América Latina, o T1203 é especialmente relevante dado o alto índice de software desatualizado em órgãos públicos, PMEs e até grandes empresas do setor financeiro e de saúde. Campanhas documentadas contra o setor financeiro brasileiro utilizam documentos Word armados entregues por [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] como vetor primário. O uso disseminado de versões não licenciadas de software - que não recebem atualizações automáticas - amplifica ainda mais a superfície de ataque. Grupos como [[g0032-lazarus-group|Lazarus Group]] e [[g0007-apt28|Fancy Bear]] já foram observados mirando alvos na região com documentos explorando [[cve-2022-30190|CVE-2022-30190]] (Follina) e exploits de PDF. ## Attack Flow ```mermaid graph TB A([T1566.001<br/>Spearphishing<br/>Attachment]):::normal --> B([Vítima abre<br/>documento]):::normal B --> C([T1203<br/>Exploit executa<br/>no cliente]):::attack C --> D([T1105<br/>Download do<br/>implant]):::normal D --> E([T1547<br/>Persistência<br/>no sistema]):::normal classDef normal fill:#2c3e50,color:#ecf0f1,stroke:#7f8c8d classDef attack fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona ### 1. Preparação O adversário seleciona ou desenvolve um exploit para uma vulnerabilidade em software cliente amplamente utilizado. Isso pode envolver aquisição de zero-days em mercados privados, adaptação de N-days públicos (como PoCs disponíveis após patch Tuesday), ou uso de ferramentas de weaponização como Metasploit e kits de exploit comerciais. O arquivo malicioso é montado - documento Word, PDF ou página HTML - e integrado à cadeia de entrega, normalmente via [[t1566-001-spearphishing-attachment|T1566.001]] ou [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]]. ### 2. Execução A vítima interage com o conteúdo malicioso - abrindo o arquivo ou navegando até a página comprometida. O exploit aciona a vulnerabilidade: corrupção de memória (heap spray, buffer overflow, use-after-free), type confusion em engine JavaScript, ou abuso de funcionalidade legada (ex: MSDT via protocolo ms-msdt no caso do [[cve-2022-30190|CVE-2022-30190]]). O shellcode inicial é executado no contexto do processo da aplicação cliente (winword.exe, acrobat.exe, chrome.exe), estabelecendo um beachhead na memória do processo. ### 3. Pós-execução O shellcode de primeira fase executa uma ação mínima - frequentemente um stager que baixa o implant de segunda fase via [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ou executa [[t1059-001-powershell|T1059.001 - PowerShell]] para recuperar e executar o payload real. A partir deste ponto, o adversário estabelece canal C2 cifrado ([[t1573-001-symmetric-cryptography|T1573.001]]) e parte para persistência via [[t1547-boot-logon-autostart|T1547]], completando o comprometimento inicial enquanto o usuário frequentemente desconhece o incidente. ## Detecção > [!warning] Sinais de Alerta > Processos filhos anômalos originados de aplicações de escritório são o indicador mais confiável de exploração bem-sucedida via T1203. | Event ID | Plataforma | Descrição | |----------|-----------|-----------| | **4688** | Windows Security | Criação de processo - winword.exe ou acrobat.exe originando cmd.exe / powershell.exe | | **1** | Sysmon | Process Creaté - correlacionar ParentImage com aplicações cliente | | **3** | Sysmon | Network connection - conexão de saída originada por processo de escritório | | **7** | Sysmon | Image loaded - DLL suspeita carregada por processo de cliente | | **10** | Sysmon | Process access - acesso à memória de outros processos pós-exploit | **Sigma Rule - Processos filhos suspeitos de Office:** ```yaml title: Suspicious Child Process from Office Application id: a5b3f9c1-2e4d-4a7b-8f0e-1c3d5e7a9b0c status: stable description: > Detecta processos de linha de comando ou scripting iniciados diretamente por aplicações de produtividade Microsoft Office - padrão típico de T1203. logsource: category: process_creation product: windows detection: selection: ParentImage|endswith: - '\winword.exe' - '\excel.exe' - '\powerpnt.exe' - '\acrord32.exe' - '\acrobat.exe' - '\foxit reader.exe' Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' - '\rundll32.exe' - '\regsvr32.exe' condition: selection falsepositives: - Macros legítimas assinadas digitalmente em ambientes controlados - Scripts de manutenção executados via Office automation por TI level: high tags: - attack.execution - attack.t1203 ``` ## Mitigação | Controle | Ação Recomendada | Prioridade para Orgs Brasileiras | |---------|-----------------|----------------------------------| | **Patch Management** | Manter Microsoft Office, Adobe Reader e navegadores atualizados - ciclo máximo de 30 dias para patches críticos | Alta - PMEs e setor público têm maior atraso em atualizações | | **Desabilitar macros** | GPO para bloquear macros de documentos externos; permitir apenas macros assinadas digitalmente | Alta - vetor predominante em campanhas contra Brasil | | **Protected View / App Guard** | Ativar Protected View no Office e Application Guard no Microsoft 365 para documentos de e-mail e internet | Alta - gratuito e eficaz contra a maioria dos exploits | | **Sandbox de e-mail** | Detonar anexos em sandbox antes de entregar ao usuário final (ex: Microsoft Defender ATP, Proofpoint) | Média - alto custo, priorizar em alvos de alto valor | | **ASLR / DEP / CFG** | Verificar que todas as aplicações cliente executam com mitigações de exploração habilitadas | Média - configuração sistêmica via GPO | | **EDR com detecção comportamental** | Solução EDR capaz de detectar heap spray e exploração de memória em processos de cliente | Alta - substitui antivírus tradicional ineficaz contra zero-days | ## Threat Actors - [[g0032-lazarus-group|Lazarus Group]] - usa T1203 extensivamente em campanhas de espionagem e roubo financeiro; documentos Office e PDF armados foram centrais na [[operation-dreamjob|Operation DreamJob]], mirando engenheiros com falsas ofertas de emprego. - [[g0007-apt28|Fancy Bear]] - empregou exploits de Equation Editor ([[cve-2017-11882|CVE-2017-11882]]) e browser zero-days em watering hole attacks contra governos europeus e campanhas de influência eleitoral; combina T1203 com [[t1566-001-spearphishing-attachment|T1566.001]]. ## Software Associado - [[cve-2017-11882|CVE-2017-11882]] - Equation Editor buffer overflow no Microsoft Office; um dos exploits de Office mais utilizados em campanhas APT entre 2018-2022 por sua confiabilidade e suporte a múltiplas versões do Office. - [[cve-2022-30190|CVE-2022-30190]] - "Follina", RCE via MSDT em documentos Office; explorado ativamente em 2022 por múltiplos grupos APT antes do patch, incluindo grupos alinhados à China e Coreia do Norte. - [[cve-2021-40444|CVE-2021-40444]] - MSHTML remote code execution via documentos Word; explorado antes do patch por grupos de espionagem para entrega de implants de acesso remoto. --- *Fonte: [MITRE ATT&CK - T1203](https://attack.mitre.org/techniques/T1203)*